Jamf ProでBYODを運用する環境を構築する際のアレコレ

JamfのEmilyさんがMDM 制限ペイロード、管理対象App構成、Per App VPNを組み合わせてBYOD上のSlackのデータアクセスを強化する方法を記事にしているとのツイートが。

Jamf Emilyのブログより
MDM 制限ペイロード、管理対象App構成、Per App VPNを組み合わせてBYOD上のSlackのデータアクセスを強化する方法
On the topic of Slack & Slack EMM for BYO mobile devices
Data stream management for managed and unmanaged apps for BYO deviceshttps://t.co/BNkZ8hPitn

— Yoshie Kono / Jamf (@yoshifin) October 7, 2023

答え合わせも兼ねて自身がやっていることと照らし合わせてみました。

ちなみにEmilyが登壇していたセッションは見れてないんですが、録画されたものを参加者は割とすぐに、そうでなくても年内には見られるようになると思います。
（登壇者として参加すると登壇終わるまで見る余裕があまりない）

資料だけはすでに公開していたのでお時間ある方は是非ー。

Resources from this fall's BYO conference presentationsResources from this fall's BYO conference presentations

アカウント駆動型ユーザー登録について

ドキュメントにあることを実際にAWSを用いて構築して説明していました。

Jamf Learning Hub

ここでふと、管理対象Apple IDって会社ドメインのメールアドレスでしか作成できないと思い込んでいましたが、専用のドメインを用意してもいけるのでは？と考えましたが、多分エンドユーザーが混乱しそうだなというのと、Jamf側がどう動くのかちょっとわからないので妄想するだけになりそうです。（慣れてないと検証環境の用意が難しい）

機能制限について

アプリ（SaaS）側でコンテンツのダウンロードやコピー＆ペーストを制限することができるとはいえ、管理された端末から正しくログインした場合は制限せずに使わせないと利便性が激しく損なわれます。

とはいえ、せっかく管理対象アプリと管理対象外アプリで判別できるのだから、情報が移動できる範囲は決めておきましょう。

概ね私が設定しているのと同じでしたが、「エンタープライズブックのバックアップ」だけは実施していなかったので真似ておこうと思います。

Jamf Pro上の設定

iOS側ではこう見えます

ちなみにこの設定、BYODだけでなく会社支給端末でもApple IDのログインは特に制限していないんだよねーという企業でも有効です。
会社として使ってほしいアプリはVPPで配布しつつ、個人Apple IDでログインされてもそちらに情報をコピーできなくなるので、情報漏えい対策として設定しておくことをおすすめします。

Slack for EMMについて

Emilyの記事にもあるようにSlackアプリに上記設定を適用しても、そのアプリで組織管理外のワークスペースにログインされてしまえば意味がないわけです。

そこでSlack for EMMで設定している構成オプションが活躍します。
このあたりは以前記事にしているのでそちらを参照してください。

Emilyの記事内ではSlackにログインするアカウントの種類（メンバーかゲストか）についての言及がないので、コピペの無効化などは書いてあるとおりではない場合もあります。

BrowserControlも実際は2つしか指定できないので使い物にならなかったりする（Chromeがない）んですが、Edgeなら確かにワンチャンですかねー。

他記事も参考になるー

他にも内容は盛り沢山ですが、書くのがかなり大変なので割愛します。是非直接確認してみてください。

ちなみに他の記事に書いてあったオースティンのApple Adminsのグッズ。
このフーディーはちょっと欲しかったかも。会場では見なかったなー。

Austin Apple Admins | Supporting Apple IT professionals in Texas | Bonfire